設定例集#38: PPPoE接続環境におけるARシリーズとの2点間L2TPv2接続

構成
ルーターA(本製品)の設定
設定の保存
ファイアウォールログについて
ルーターB(AR570S)の設定
ルーターA(本製品)のコンフィグ
ルーターB(AR570S)のコンフィグ

設定例集#38: [ 設定例集目次 ] ページ内目次

PPPoEでインターネットに接続している拠点間をL2TPv2で結ぶVPN構築例です。
インターネットサービスプロバイダー(以下 ISP)から固定IPアドレスが割り当てられるルーター間をL2TPv2トンネルで接続します。
この例では対向ルーターとして弊社のAR570Sを想定しています。

構成

設定例集#38: [ 設定例集目次 ] ページ内目次

 
ルーターA
(本製品)
ルーターB
(AR570S)
ISPから提供された情報
ISP接続用ユーザー名 user@ispA user@ispB
ISP接続用パスワード isppasswdA isppasswdB
PPPoEサービス名 指定なし 指定なし
WAN側IPアドレス 10.0.0.1/32 10.0.0.2/32
ルーターの基本設定
WAN側物理インターフェース eth1 eth0
WAN側(ppp0)IPアドレス 10.0.0.1/32 10.0.0.2/32
LAN側(vlan1)IPアドレス 192.168.10.1/24 192.168.20.1/24
VPN接続設定
ローカルコール名 center branch1
リモートコール名 branch1 center

[L2TPサーバーパスワード]

ルーターA(本製品)の設定

設定例集#38: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。</value>
    interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
  4. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
 ip address 192.168.10.1/24
  5. L2TPv2トンネルの設定をします。
    これには、l2tp tunnelversionip-versionencapsulation pppdestinationlocal-subaddressremote-subaddressshared-secretの各コマンドを使います。

    L2TPv2の詳細は「VPN」/「L2TPv2」をご覧ください。
    l2tp tunnel tunnel0
 version 2
 ip-version 4
 encapsulation ppp 10
 destination 10.0.0.2
 local-subaddress center
 remote-subaddress branch1
 shared-secret secret
  6. L2TPv2トンネル上のPPPインターフェースにIPアドレスを設定します。これにはip addressコマンドを使います。
    interface ppp10
 ip address 192.168.100.1/30
  7. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 192.168.10.0/24
 network peer
  ip subnet 192.168.20.0/24
 network tunnel
  ip subnet 192.168.100.0/30
  8. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
  9. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部から内部への通信を許可します
    ・rule 20 - 内部から外部への通信を許可します
    ・rule 30, 40 - L2TPv2パケットを許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit l2tp from public.wan.ppp0 to public.wan
 rule 40 permit l2tp from public.wan to public.wan.ppp0
 protect
  10. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  11. デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.20.0/24)への経路を設定します。これにはip routeコマンドを使います。
    ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 ppp10
ip route 192.168.20.0/24 Null 254
  12. 以上で設定は完了です。
    end

設定の保存

設定例集#38: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility kern msgtext Firewall

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターB(AR570S)の設定

設定例集#38: [ 設定例集目次 ] ページ内目次
Note
AR570Sの設定に関する詳細は、AR570Sのドキュメントをご参照ください。

  1. L2TPの設定を行います。
    enable l2tp
enable l2tp server=both
add l2tp password=secret
add l2tp call=branch1 rem=center ip=10.0.0.1 ty=virtual pass=secret prec=out

  2. PPPoE接続の設定を行います。
    create ppp=0 over=eth0-any
set ppp=0 bap=off username=user@ispB password=isppasswdB
set ppp=0 over=eth0-any lqr=off echo=10

  3. L2TPトンネル上のPPPインターフェースの設定を行います。
    create ppp=10 idle=99999999 over=TNL-branch1
set ppp=10 bap=off
set ppp=10 over=TNL-branch1 lqr=off echo=10

  4. IPの基本設定を行います。
    enable ip
enable ip remote
add ip int=ppp0 ip=10.0.0.2 mask=255.255.255.255
add ip int=ppp10 ip=0.0.0.0 mask=0.0.0.0
add ip int=vlan1 ip=192.168.20.1
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
add ip rou=192.168.10.0 mask=255.255.255.0 int=ppp10 next=192.168.100.1

  5. ファイアウォールとNATの設定を行います。
    enable firewall
create firewall policy=net
disable firewall policy=net identproxy
enable firewall policy=net icmp_f=unre,ping
add firewall policy=net int=vlan1 type=private
add firewall policy=net int=ppp10 type=private
add firewall policy=net int=ppp0 type=public
add firewall poli=net nat=enhanced int=vlan1 gblin=ppp0
add firewall poli=net ru=1 ac=allo int=ppp0 prot=udp po=1701

ルーターA(本製品)のコンフィグ

設定例集#38: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp username user@ispA
 ppp password isppasswdA
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
interface vlan1
 ip address 192.168.10.1/24
!
l2tp tunnel tunnel0
 version 2
 ip-version 4
 encapsulation ppp 10
 destination 10.0.0.2
 local-subaddress center
 remote-subaddress branch1
 shared-secret secret
!
interface ppp10
 ip address 192.168.100.1/30
!
zone private
 network lan
  ip subnet 192.168.10.0/24
 network peer
  ip subnet 192.168.20.0/24
 network tunnel
  ip subnet 192.168.100.0/30
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit l2tp from public.wan.ppp0 to public.wan
 rule 40 permit l2tp from public.wan to public.wan.ppp0
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 ppp10
ip route 192.168.20.0/24 Null 254
!
end

ルーターB(AR570S)のコンフィグ

設定例集#38: [ 設定例集目次 ] ページ内目次
Note
AR570Sの設定に関する詳細は、AR570Sのドキュメントをご参照ください。
enable l2tp
enable l2tp server=both
add l2tp password=secret
add l2tp call=branch1 rem=center ip=10.0.0.1 ty=virtual pass=secret prec=out
create ppp=0 over=eth0-any
set ppp=0 bap=off username=user@ispB password=isppasswdB
set ppp=0 over=eth0-any lqr=off echo=10
create ppp=10 idle=99999999 over=TNL-branch1
set ppp=10 bap=off
set ppp=10 over=TNL-branch1 lqr=off echo=10
enable ip
enable ip remote
add ip int=ppp0 ip=10.0.0.2 mask=255.255.255.255
add ip int=ppp10 ip=0.0.0.0 mask=0.0.0.0
add ip int=vlan1 ip=192.168.20.1
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
add ip rou=192.168.10.0 mask=255.255.255.0 int=ppp10 next=192.168.100.1
enable firewall
create firewall policy=net
disable firewall policy=net identproxy
enable firewall policy=net icmp_f=unre,ping
add firewall policy=net int=vlan1 type=private
add firewall policy=net int=ppp10 type=private
add firewall policy=net int=ppp0 type=public
add firewall poli=net nat=enhanced int=vlan1 gblin=ppp0
add firewall poli=net ru=1 ac=allo int=ppp0 prot=udp po=1701

(C) 2015 - 2019 アライドテレシスホールディングス株式会社

PN: 613-002765 Rev.A